Google стверджує, що урядові хакери лідирують у використанні атрибуованих нульових днів

Згідно з новим дослідженням Google , хакери, які працюють на уряди, були відповідальні за більшість приписуваних експлойтів нульового дня, що використовувалися в реальних кібератаках минулого року.

У звіті Google йдеться, що кількість експлойтів нульового дня — це недоліки безпеки, про які розробники програмного забезпечення не знали на момент їх використання хакерами — зменшилася з 98 експлойтів у 2023 році до 75 експлойтів у 2024 році. Але у звіті зазначається, що з тієї частки експлойтів нульового дня, яку Google зміг приписати — тобто ідентифікувати хакерів, відповідальних за їх використання — щонайменше 23 експлойти нульового дня були пов'язані з хакерами, яких підтримував уряд.

Серед цих 23 експлойтів 10 нульових днів були пов'язані з хакерами, які працюють безпосередньо на уряди, включаючи п'ять експлойтів, пов'язаних з Китаєм, та ще п'ять з Північною Кореєю. 

Ще вісім експлойтів було ідентифіковано як такі, що були розроблені виробниками шпигунських програм та компаніями, що забезпечують спостереження, такими як NSO Group, які зазвичай стверджують, що продають свої продукти лише урядам. Серед цих восьми експлойтів, створених компаніями-шпигунами, Google також враховує помилки , які нещодавно використовувала сербська влада за допомогою пристроїв розблокування телефонів Cellebrite.

Незважаючи на те, що було зареєстровано вісім випадків розробки нульових систем розробниками шпигунського програмного забезпечення, Клеман Лесінь, інженер з безпеки Групи розвідки загроз Google (GTIG), розповів TechCrunch, що ці компанії «інвестують більше ресурсів в операційну безпеку, щоб запобігти викриттю своїх можливостей та не потрапити в новини». 

Google додав, що постачальники систем спостереження продовжують розмножуватися. 

«У випадках, коли дії правоохоронних органів або публічне розкриття інформації виштовхували постачальників з бізнесу, ми спостерігали появу нових постачальників, які надають аналогічні послуги», – сказав TechCrunch Джеймс Садовскі, головний аналітик GTIG. «Доки державні клієнти продовжуватимуть запитувати та оплачувати ці послуги, галузь продовжуватиме зростати». 

Решту 11 приписаних атак нульового дня, ймовірно, використовували кіберзлочинці, такі як оператори програм-вимагачів, що атакували корпоративні пристрої , включаючи VPN та маршрутизатори. 

У звіті також зазначається, що більшість із 75 випадків нульового дня, використаних протягом 2024 року, були спрямовані на споживчі платформи та продукти, такі як телефони та браузери; тоді як решта використовували пристрої, які зазвичай знаходяться в корпоративних мережах.

Гарна новина, згідно зі звітом Google, полягає в тому, що виробники програмного забезпечення, які захищаються від атак нульового дня, дедалі більше ускладнюють розробникам експлойтів пошук помилок.

«Ми спостерігаємо помітне зниження рівня кібератаки типу «нульовий день» для деяких історично популярних цілей, таких як браузери та мобільні операційні системи», – йдеться у звіті.

Садовскі зокрема вказав на режим блокування (Lockdown Mode) – спеціальну функцію для iOS та macOS, яка вимикає певні функції з метою захисту мобільних телефонів та комп’ютерів, що має перевірений досвід запобігання атакам урядових хакерів; а також розширення пам’яті (Memory Tagging Extension , MTE) – функцію безпеки сучасних чіпсетів Google Pixel, яка допомагає виявляти певні типи помилок та покращувати безпеку пристроїв. 

Такі звіти, як звіти Google, цінні, оскільки вони надають галузі та спостерігачам дані, які допомагають нам зрозуміти, як діють урядові хакери, навіть якщо невід'ємною проблемою підрахунку нульових днів є те, що за своєю природою деякі з них залишаються непоміченими, а з тих, що виявляються, деякі все одно залишаються без зазначення авторства.